数据库应用技术——SQLServer2005篇第2版课件徐守祥第10章节SQLServer2005的安全管理.ppt

第10章 SQL Server 2005的安全管理 通过本章的学习，读者应该掌握以下内容。 SQL Server 2005的安全特性以及安全模型 使用SQL Server 2005的安全管理工具构造灵活、安全的管理机制 10.1 SQL Server 2005的安全特性 SQL Server 2005在数据库平台的安全模块方面做了重要的增强，在加强数据安全性方面提供了更多精确、灵活的控制方法。 新增的安全特性主要有： （1）默认关闭。 （2）细化的权限控制。 （3）用户和Schema（架构）分开。 （4）数据加密。 （5）本地加密。 （6）认证。 10.2 SQL Server 2005的安全模型 SQL Server 2005的安全模型分为3层结构，分别为服务器安全管理、数据库安全管理和数据库对象的访问权限管理。 10.2.1 SQL Server 2005访问控制 与SQL Server 2005安全模型的3层结构相对应，SQL Server 2005的数据访问要经过3关的访问控制。 （1）第1关，用户必须登录到SQL Server 2005的服务器实例。 （2）第2关，在要访问的数据库中，用户的登录名要有对应的用户帐号。 （3）第3关，数据库用户帐号要具有访问相应数据对象的权限。 10.2.2 SQL Server 2005身份验证模式 SQL Server 2005有两种安全验证机制：Windows验证机制和SQL Server验证机制。 由这两种验证机制产生了两种身份验证模式：仅Windows身份验证模式和混合验证模式。 10.3 服务器的安全性 10.3.1 创建或修改登录帐户 1．在SQL Server Management Studio下创建使用Windows身份验证的登录帐户 2．在SQL Server Management Studio下创建使用SQL Server身份验证的登录帐户 SQL Server身份验证的登录帐户，是由SQL Server 2005自身负责身份验证的，不要求有对应的系统帐户，这也是许多大型数据库所采用的方式，程序员通常更喜欢采用这种方式。 通过登录名“登录属性”对话框，修改两种登录帐户属性的方法基本一样。 3．使用SQL语句创建两种登录帐户 在查询设计器下，可以使用系统存储过程sp_addlogin创建使用SQL Server身份验证登录帐户。sp_addlogin的基本语法格式如下。 EXECUTE sp_addlogin 登录名, 登录密码, 默认数据库, 默认语言 使用系统存储过程sp_grantlogin将一个Windows 操作系统客户映射为一个使用Windows身份验证的SQL Server登录帐户。 sp_grantlogin的基本语法格式如下。 EXECUTE sp_grantlogin 登录名 10.3.2 禁止或删除登录帐户 如果要暂时禁止一个使用SQL Server身份验证的登录帐户，管理员只需要修改该帐户的登录密码就可以了。 如果要暂时禁止一个使用Windows身份验证的登录帐户，则要使用SQL Server Management Studio或执行SQL语句来实现。 要删除任何一种登录帐户，都需要执行相应的命令。 1．使用SQL Server Management Studio禁止Windows身份验证的登录帐户 2．使用SQL Server Management Studio删除登录帐户 3．使用SQL语句禁止Windows身份验证的登录帐户 10.3.3 服务器角色 固定的服务器角色是在服务器安全模式中定义的管理员组，它们的管理工作与数据库无关。 SQL Server 2005在安装后给定了几个固定服务器角色，具有固定的权限，可以在这些角色中添加登录帐户以获得相应的管理权限。 10.4 数据库的安全性 一般情况下，用户登录到SQL Server 2005后，还不具备访问数据库的条件，用户要访问数据库，管理员还必须为他的登录名在要访问的数据库中映射一个数据库用户帐号或称用户名。 数据库的安全性主要是靠管理数据库用户帐号来控制的。 10.4.1 添加数据库用户 1．在数据库用户管理界面下添加数据库用户 2．使用sp_grantdbaccess添加数据库用户 使用系统存储过程sp_g